GWLB구성 1: EP -EPS로구축해보자

본 내용은 AWS 세미나 내용을 듣고 개인적으로 테스트하며 정리한 내용입니다.

내용이 틀릴수 있습니다.

GWLB

게이트웨이 역할을 하는 로드 밸런서이다.

보안장비 구축 시 게이트웨이 역할을 한다.

EndPoint - EndPoint Service로 구축법이다.

서비스를 위한 부분은 아니며 내부적으로 통신 하는 법이 설명 된다.

트랜짓 게이트웨이를 사용하지 않는 경우이다.

실무에서는 트랜짓 게이트웨이를 사용하는 경우가 많으므로 구성과 라우팅 설정만 참고하도록 한다.

<1> EndPoint - EndPoint Service로 구축해보자

<2> 들어오는것 동작 ?

<3> 나가는것 동작 ?

<4> GWLB VPC 구성

<5> 서비스 VPC인 VPC 1 구성

<6> 추가 자료

<1> EndPoint - EndPoint Service로 구축해보자

이미지 출처 : gitbook

동작 확인

유입과 유출 모두 해당 VPC IGW를 사용하는 방법이다.

라우팅 테이블을 확인하자!!!

<2> 들어오는것 동작 ?

1

외부 사용자가 VPC1 서비스 Private EC2로 가려고 IGW로 가면

IGW-Ingress 라우팅 테이블 생성

엣지 연결을 IGW와 연결 필요

2

IGW-Ingress 라우팅 테이블에서

서비스 VPC인 VPC1 서버의 Private subnet IP 블럭에 대해 EP로 가도록 설정

3

Endpoint 는 미리 2개 만들어 놓아야 한다.

AZ 별 Endpoint 필요. (Subnet별 Endpoint)

이름별 서비스 찾기 > Endpoint Service명을 찾아서 생성한다.

// GWLB VPC에 미리 Endpoint Service를 생성해야, Endpoint를 만들수 있다.

4

VPC1 EP는 GWLB VPC의 EPS로 간다.

-> GWLB -> Network Firewall 을 거친다.

0.0.0.0/0 Endpoint 라우팅으로 다시 VPC1 Private Subnet EC2로 간다.

<3> 나가는것 동작 ?

1

VPC1 서비스 Private Subnet에 EC2 는 0.0.0.0/0 은 EP로 간다.

모두 EP를 거친다.

2

EP는 GWLB VPC가 있는 EPS로 가서 Network Firewall 을 거친다..

GWLB VPC 라우팅 테이블은?

0.0.0.0/0 EP 이다.

3

다시 VPC1로 오면

VPC1의 IGW를 통해 외부로 나간다.

0.0.0.0/0 IGW 이다.

EP가 있는 public Subnet의 라우팅 테이블은 0.0.0.0/0 IGW 이다.

유입과 유출 모두 서비스 VPC1의 IGW를 사용하는 방법이다.

<4> GWLB VPC 구성

1

서비스 VPC1 구성과 GWLB VPC구성 2개로 나누어 구성된다.

서비스 VPC1 (Endpoint) -- GWLB VPC(Endpoint Service VPC- GWLB- 제네브 UDP 6081 보안장비 )

2

Endpoint Service 를 만들고, EP가 Endpoint Service 를 연결 하는 방식이다.

https://brunch.co.kr/@topasvga/1339

498. VPC피어링-EP-EPS

3

VPC > Endpoint Serivce 생성

이름

gwlb1-ep-service

로드밸런서 유형

게이트 웨이 로드밸런서로 변경

4

새 로드 밸랜서 생성 > Gateway Load Balancer > 타깃 그룹은 UDP 6081 , 제네브 터널링 지원장비 필수

5

라우팅 테이블 0.0.0.0/0 eni 로 설정한다. 엔드포인트로 지정한다.

// 테스트 환경에서는 외부에서 접속 해야 하므로 0.0.0.0/0 은 igw로 설정한다.

6

참고 사이트

EP

https://brunch.co.kr/@topasvga/1316

476. 3주차-VPC엔드포인트

7

EP-EPS 구성

https://brunch.co.kr/@topasvga/1343

503. TGW-TGW-EP-EPS 구성

<5> 서비스 VPC인 VPC 1 구성

라우팅 테이블을 확인하자!!!

유입과 유출 모두 해당 VPC IGW를 사용하는 방법이다.

1

유입 동작 ?

외부 사용자가 VPC1 서비스 Private EC2로 가려고 IGW로 가면

IGW 라우팅 테이블은 EP로 가도록 설정한다.

VPC1 EP는 GWLB VPC의 EPS로 가서 Network Firewall 을 거친다.

이후 다시 VPC1 Private Subnet EC2로 간다.

2

유출 동작 ?

VPC1 서비스 Private Subnet에 EC2의 0.0.0.0/0 은 EP로 간다.

EP는 GWLB VPC가 있는 EPS로 가서 Network Firewall 을 거친다.

이후 VPC1 서비스 IGW를 통해 외부로 나간다.

라우팅 테이블을 확인하자!!!

유입과 유출 모두 해당 VPC IGW를 사용하는 방법이다.

3

Endpoint를 설정한다.

Public Subnet에 설정한다.

Public Subnet 1, Public Subnet 2

4

라우팅 테이블 확인?

IGW 라우팅 테이블 확인 = Ingress Routing 테이블 확인

IGW 라우팅 테이블 > Edge Associations > Edit Edge associations > igw attach 한다.

IGW 라우팅 테이블은 Private Subnet에 EC2로 가려면 EP로 가도록 라우팅 잡는다.

Private subnet1 10.200.1.0/24 EP (AZ-A)로 라우팅 잡는다.

Private subnet2 10.200.2.0/24 EP (AZ-C)로 라우팅 잡는다.

https://www.youtube.com/watch?v=r6mEnUTTkMQ

5

Private subnet의 라우팅 테이블 확인

EC2가 있는 Private subnet은 0.0.0.0/0 vpce-xxxxxxxxx EP로 라우팅을 잡는다.

무조건 EP로 보내면 되는 것이다.

6

참고 사이트

Ingress Routing, Private subnet 라우팅 설정 참고

https://brunch.co.kr/@topasvga/1536

555. AWS Network Firewall (정리중

7

기타

CF사용 시 PrivateToGWLB 0.0.0.0/0로 설정

같이 볼만한 자료

https://brunch.co.kr/@topasvga/1795

(몰아보기) GWLB, Network Firewall

감사합니다.